Не уверен, что вы ищете. Вот несколько мыслей.
Если вы хотите проверить пользователей вашей системы, я предлагаю использовать аутентификацию, которая работает на уровне Rack, например, Warden. Мало того, что это, вероятно, более надежное решение, чем пользовательское решение для аутентификации, оно работает как промежуточное ПО, поэтому оно в основном прозрачное и может использоваться за пределами Sinatra, если вы решите добавить дополнительное промежуточное ПО, пользовательские приложения Rack или Rails в свой стек Rack.
То, как работает mongodb, когда команды отделены от данных, означает, что инъекции маловероятны, поэтому некоторая минимальная проверка правильности ввода данных пользователем должна снизить риск компрометации базы данных. Как и в случае с любой базой данных, рекомендуется никогда не помещать данные напрямую в вашу базу данных от пользователя без надлежащей проверки границ и экранирования.
Убедитесь, что пользователи не могут вводить HTML / JS / CSS, который могут видеть другие пользователи, иначе ваш сайт, вероятно, будет уязвим для XSS.
Если возможно, четко определите все возможные входные данные, которые пользователь может выбирать, затем убедитесь, что входные данные, которые вы получаете от пользователей, соответствуют ТОЧНО одному из возможных значений, которые вы определили. Если нет, либо отклоните ввод или выберите правильное значение по умолчанию.
Хорошее модульное тестирование и широкий охват тестов часто могут помочь уменьшить непредвиденное поведение, которое иногда может использоваться для предотвращения проблем безопасности. Попробуйте это. Конечно, не может быть больно.
Еще одна полезная практика, которая может повысить безопасность, - не изобретать велосипед заново. Используйте надежные, проверенные и работающие решения, от которых зависит остальное сообщество, так что вы можете извлечь пользу из идей других и пожинать плоды, когда кто-то другой находит и исправляет уязвимость в используемой вами библиотеке.
Существует множество других проблем на уровне системы, базы данных и приложения, которые вам, возможно, придется решить, чтобы обеспечить безопасность вашего приложения. Объем вашего вопроса слишком широк, чтобы ответить без глубокого знания вашей полной архитектуры системы.